Всеобъемлющий Интернет: прогнозы и реальность

Технологии Интернета вещей (Internet of Things, IoT) на классической «кривой хайпа», построенной аналитиками Gartner в прогнозе на 2013 год, достигли зоны «технологического триггера» с горизонтом внедрения (достижение зоны «плато продуктивности») более десяти лет. Годом ранее место на кривой было примерно то же, но горизонт внедрения составлял пять-десять лет. Таким образом, аналитики намекают, что получение возможности знать все и обо всем откладывается. Почему?

Реальная жизнь всегда богаче предсказаний, да и с терминологией не все всегда однозначно — те, кто посещал Китай, наверняка сталкивались с проблемой идентификации, когда без знания конкретного диалекта китайского языка трудно понять, что перед тобой в магазине именно йогурт. Хорошо, что есть относительно надежный способ — штрихкод, который придумали, безусловно, в первую очередь для взаимодействия M2M, а об обычных покупателях заботились в последнюю очередь, однако в случае с Китаем он реально работает. Примечательно, что описания всех местных товаров имеются в соответствующих базах данных, а к ним есть аннотации на английском. Российская действительность куда интереснее.

В конце апреля компания «Военторг» объявила о начале внедрения в Казанском высшем военном командном училище аренды постельного и нательного белья военнослужащих с радиометками и штрихкодом. «Военторг» внедряет метки для стирки, глажки и учета, но нательное белье носят постоянно, поэтому перемещение курсантов по территории, оборудованной сканерами меток, можно будет отслеживать в реальном времени. Пожелаем курсантам и их командирам успехов в выполнении боевых задач, отметив, что вектор внедрения технологии Интернета вещей выбран правильно.

Осознанно или случайно, но данный пример с внедрением Интернета вещей в армии поможет, при наличии доброй воли, избежать ряда «гражданских» проблем и решить следующие задачи: стимулировать переход на новые технологии, например на протоколы семейства IPv6; обеспечить тайну частной жизни; поставить заслон на пути перехвата и неправомерного использования данных, вызванных практически повсеместным доступом к Сети; обеспечить достоверность собираемых данных, риск дискредитации которых за счет подмены маршрутной информации сегодня весьма высок; защитить источники данных или ЦОД от блокировок доступа посредством организации масштабных DDoS-атак.

Не только в России в качестве одного из полигонов внедрения технологий IoT стала армия: работы по исследованию возможностей внедрения IPv6 в НАТО начались еще в 1998 году; в чешской армии исследования по переводу армейских систем передачи данных на IPv6 стартовали в 2004 году; в 2006 году активно внедрением IPv6 занялись в Бундесвере. В 2009 году на конференции RIPE-59 (meetings.ripe.net/ripe-59/presentations/wellbrink-v6-germany.pdf) сообщалось о распределении адресного пространства между центральным аппаратом, командованием миссиями, тактическими группами и конечными «хостами» в боевых частях немецкой армии. Это распределение таково, что на «хосты» приходится 2²⁴  адресов, что позволяет пометить не только каждый элемент амуниции солдата, но и каждый патрон.

Мой адрес — не дом и не улица

Когда речь заходит об IoT, из виду часто упускается ключевой смысл первого слова в этом словосочетании — «Интернет». Основное достоинство Сети — ее повсеместное распространение не только в качестве средства коммуникации между людьми, но и как межмашинного средства коммуникации (некая универсальная платформа М2М). Основой данной коммуникационной технологии является IP, протокол межсетевого обмена данными, построенный на IP-адресах, и назначение хосту («вещи» в нашем случае) уникального адреса позволяет отправить этому хосту сообщение в рамках глобального обмена данными.

Согласно прогнозам компании Ericsson, к 2020 году к Сети должно быть подключено 50 млрд устройств, находящихся в ведении 3 млрд человек. К сети будут также подключены около 1,5 млрд подвижных объектов, не считая поездов, трамваев и прочего общественного транспорта. К этому следует добавить 3 млрд датчиков и принять в расчет 100 млрд уже имеющихся во всем мире процессоров. Конечно, солдатским трусам, снабженным радиометкой, наверное, сообщений отправлять не надо. Но если нижнее солдатское белье снабдить функциями оказания первой медицинской помощи при ранениях или повреждениях, скажем для остановки кровотечений, то активная коммуникация с таким объектом будет необходима. Сложность, однако, в том, что адреса стандарта IPv4, на которых построен современный Интернет, закончились еще два года назад. Распределением глобального адресного пространства Сети занимаются IANA и пять локальных интернет-реестров: ARIN (Северная Америка), LACNIC (Латинская Америка), APNIC (Азиатско-Тихоокеанский регион), AFRONIC (Африка) и RIPE NCC (Европа). Первым региональным реестром, который перешел к особой процедуре распределения адресного пространства, стал APNIC — с 15 апреля 2011 года здесь перешли к распределению последнего блока адресов (16 млн адресов), а затем адреса закончились и в RIPE NCC.

Пространство 32-разрядной адресации IPv4 — это 4,3 млрд объектов, и прогноз на 50 млрд подключений к Сети, построенной преимущественно на IPv4, не может быть реализован. Современные технологии туннелирования и трансляции адресов позволяют снизить размерность необходимого адресного пространства — например, любой провайдер «последней мили» подключает своих клиентов на «приватные» адреса: блоки типа 10.х.х.х (10/8), 172.16.х.х (172.16/12) и 192.168.х.х(192.168/16). Кроме того, есть еще зарезервированный блок для «локальной петли» — 127.0.0.0. Приватные адреса не маршрутизируются в глобальном Интернете, однако при использовании технологии трансляции сетевых адресов NAT хосты с такими адресами могут подключаться к сети и получать доступ к удаленным сетевым ресурсам. Таким образом, если все метки активны и инициируют соединение с концентратором обработки данных, который инициирует соединение с центрами обработки данных, то всей этой конструкции не нужны маршрутизируемые публичные адреса — можно обойтись приватными адресами.

Обмен данными происходит по инициативе носителя приватного адреса, который может быть подключен к Сети через NAT, — именно так и работает push-технология на современных мобильных устройствах. Согласно этой логике, из 50 млрд устройств можно сразу исключить 30 млрд, связанных с конечными пользователями. Аналогично можно поступить и с подвижными объектами. Остаются только ЦОД и узлы передачи данных. Если развить коммерческий рынок оборота IPv4-адресов, то адресов вполне может хватить для построения Интернета вещей.

Такой рынок адресов сегодня активно развивается, начавшись с переуступки прав на адреса обанкротившихся компаний. В этом смысле стала показательной сделка между Microsoft и Nortel по продаже блока в 666 624 IPv4-адреса в рамках банкротства последней за 7,5 млн долл. В целом только за 2011 год в ARIN было зафиксировано 88 трансферов блоков адресов от одной организации другой, что составило около 4 млн адресов. В 2012 году ARIN зафиксировала запросы еще на 50 трансферов, из них 23 были удовлетворены. При этом минимальный размер передаваемого блока равен 254 IP-адреса. За первый квартал 2013 года в ARIN было запрошено 10 коммерческих трансферов блоков IP-адресов. Аналогичная ситуация сложилась и в Европе, где распределением и учетом использования адресного пространства занимается интернет-реестр RIPE NCC. В общей сложности с октября 2012 по май 2013 года владельцев поменяли 70 057 984 адреса. При этом в 2013 году администраторов поменяли 52 494 336 адресов. Среди бывших владельцев есть и российские компании — например, Petersburg Internet Network (pinspb.ru), «отпустившая» 2 621 440 адресов.

По мере исчерпания адресного пространства IP-адреса получили рыночную стоимость, что ранее уже произошло с доменными именами. Этот факт чрезвычайно важен — нематериальные объекты инфраструктуры Сети до недавнего времени не имели рыночной стоимости.

Вернемся к адресному пространству Интернета в контексте IoT. В случаях, когда оконечному устройству необходимо передать информацию, эффективность обмена данными через NAT невелика — фактически оконечное устройство должно постоянно устанавливать соединения с сервером сообщений. В свое время при внедрении в локальных сетях стеков протоколов TCP/IP и NetBEUI было замечено, что широковещательный NetBEUI порождает на 15–30% больше служебного трафика. Инициация соединения с конкретным сервером — это, конечно, не широковещание, но то, что в этом случае избыточный служебный трафик будет присутствовать, сомнений нет. Перестройка системы использования адресного пространства IPv4 — это тяжелый процесс, а переход на приватные адреса — это смена парадигмы и ряда технологических процессов, поэтому необходима альтернатива IPv4.

В рамках технологии межсетевого обмена по IPv6 теоретически можно использовать адресное пространство с размерностью 2¹²⁸ адресов, но несмотря на то что этому решению уже скоро как двадцать лет, реального масштабного перехода на IPv6 до сих пор не произошло. Причина прежде всего в том, что устройства из адресного пространства IPv4 не могут взаимодействовать с устройствами из пространства IPv6.

Еще в июне 2010 года Джефф Хастон, руководитель исследовательского отдела APNIC, отмечал, что перевести 1,7 млрд конечных пользователей, более 1 млрд хостов, сотни миллионов маршрутизаторов, коммутаторов и другого коммуникационного оборудования с одного протокола на другой очень сложно, поэтому нужно строить параллельный Интернет, а этот вопрос уже из области экономики. Строить еще одну Сеть без видимых выгод в краткосрочной или (хотя бы) среднесрочной перспективе никто не будет — для перехода на IPv6 нужно сначала настроить поддержку обоих протоколов на хостах и коммуникационном оборудовании, а также реализовать связность островков IPv6 между собой поверх IPv4, а потом, по мере разрастания IPv6, реализовать связность островов IPv4 поверх IPv6. По мере исчерпания адресного пространства IPv4 новые сегменты IPv6 должны будут через NAT подключаться к Интернету и взаимодействовать между собой и ключевыми сервисами поверх IPv4.

Основные игроки такого сценария — мобильные операторы. Количество мобильных устройств растет, адресов на них уже сегодня не хватает, трафик тоже растет, и для оптимизации структуры передачи данных операторы начинают строить собственные сети доставки контента (Content Delivery Network, CDN), как, например, «МегаФон». Тем не менее внедрение нового протокола сегодня еще экономически невыгодно: высокая стоимость оборудования, «сырое» ПО, отсутствие прямой выгоды от внедрения и т. п. заставляют провайдеров осторожно относиться к развертыванию сетей IPv6. Статистика Google свидетельствует о том, что за последние четыре года количество пользователей, подключенных по IPv6, в мире выросло только на 1%, а в России из 60 млн пользователей Сети только 146 тыс. имеют возможность подключиться по IPv6.

Таким образом, подключить 50 млрд устройств в единую «прозрачную» сеть в ближайшем будущем не получится, а вот создать «независимые острова» IPv6 для различных нужд и отладить на них технологии Интернета вещей вполне можно.

Тайна частной жизни

В конечном счете Интернет вещей — это обработка данных, хотя и собираемых с помощью меток и сканеров, причем в рамках развития IoT довольно быстро снимаемые данные превратятся в персональные.

Первыми с проблемой персонализации совокупности данных в Интернете столкнулись компании интернет-рекламы, например с 2000 по 2002 год компания DoubleClick не вылезала из различных судебных тяжб, спровоцированных созданием единой базы данных Abacus, аккумулирующей сведения с рекламных площадок. В итоге, чтобы избежать дальнейших проблем, DoubleClick построила систему анонимизации персональных данных. При создании информационных систем обработки данных в рамках IoT проблемы с защитой персональных данных будут возникать постоянно.

Технологии Интернета вещей порождают огромное количество данных, не предназначенных для всеобщей огласки, — как только уникально помеченная «вещь» (в широком смысле) попадает в чье-то пользование и метка начинает считываться сканерами и трассироваться в информационных системах, риск перехода трассы в разряд персональных данных резко увеличивается. Обработка персональных данных в Российской Федерации регулируется целым рядом законодательных актов, в их числе 152-ФЗ и подзаконные акты некоторых ведомств, включая совместный приказ № 55/86/20 ФСТЭК, ФСБ, Минсвязи от 13 февраля 2008 года «Об утверждении Порядка проведения классификации информационных систем персональных данных». Под требования этих нормативных актов попадают не только все информационные системы, хранящие персональные данные, но и узлы передачи данных, на которых должна быть реализована защита персональных данных. Совсем несложно пометить все объекты реального мира метками и организовать считывание с них сведений, но далеко не просто обеспечить соответствие средств обработки персонифицированных данных требованиям законодательства. И не только российского.

Как предписывает 152-ФЗ, обрабатывать персональные данные можно только с письменного согласия субъекта персональных данных и хранить их можно только в течение действия договора (речь сейчас идет о договорных отношениях, в рамках которых появляется необходимость обработки персональных данных). Исключения могут составлять лишь те случаи, которые прописаны в других законодательных актах. После окончания срока договора данные должны быть либо удалены, либо обезличены. Особые требования по защите информации к системам предъявляются как с точки зрения типа хранимой информации, так и с точки зрения ее объемов. Наиболее охраняемые данные — это данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. К слову сказать, один из исков к DoubleClick касался как раз личной жизни — пользователю вместо рекламы контрацептивов стали показывать рекламу одежды для новорожденных.

Другое требование касается объемов хранимых данных — если в системе содержатся данные 100 тыс. и более персон, то она автоматически должна реализовывать самые высокие стандарты защищенности. Понятно, что при широком внедрении технологий IoT эти показатели легко перекрываются, и, как следствие, отечественные системы обработки данных должны будут удовлетворять требованиям приказа № 55/86/20.

Одной из модных тем, касающихся Интернета вещей, являются облака, привлекающие возможностью надежной высокопроизводительной обработки больших объемов данных, однако с точки зрения обработки персональных данных и здесь могут возникнуть серьезные проблемы — например, на Российском интернет-форуме в 2013 году данному вопросу была даже посвящена отдельная, причем закрытая секция.

Закон требует письменного согласия субъекта персональных данных на их обработку, а в случае облаков такой обработкой могут заниматься третьи лица, контракторы, предоставляющие облачные мощности для компании, с которой у субъекта персональных данных заключен договор. Если точки обработки персональных данных расположены на территории Российской Федерации, то проблемы можно решить, но если облако реализовано на мощностях, находящихся в юрисдикции других государств, то дополнительных проблем не избежать. Правда, если страна является участником Конвенции о защите физических лиц при автоматизированной обработке персональных данных 1981 года (последняя редакция 15 июня 1999 года), то при определенных условиях данные передавать можно. Такими странами, например, являются страны Евросоюза, а США — нет, соответственно, передавать данные для обработки в ЦОД в эту страну нельзя.

Процесс гармонизации международного законодательства длительный, но до тех пор, пока он не будет завершен, широко использовать безграничные (в буквальном смысле) возможности облаков для обработки персональных данных в рамках IoT будет нельзя, и лучше пока отлаживать технологии Интернета вещей на армейском нижнем белье.

Токсичная Сеть

При реализации обработки данных в среде Интернет не следует забывать о том, что это весьма «токсичная» среда, — только за апрель 2013 года был осуществлен ряд весьма серьезных атак на информационные ресурсы. Одной из наиболее значимых была атака на серверы Spamhaus, достигшая 300 Гбайт/с, — этого достаточно, чтобы «уложить» мощности любого крупного провайдера. Особенность атаки заключалась в применении технологии, известной как амплификация DNS. Кроме того, атакующие использовали для генерации трафика протокол DNSSEC. Атака такой мощности стала осуществимой из-за наличия в Сети более 20 млн «открытых» кэширующих DNS-серверов и наличия возможности подмены IP-адреса источника запросов к системе DNS. Открытые кэширующие DNS-серверы существуют в нескольких ипостасях. Во-первых, это серверы, настроенные по умолчанию, и подобно почтовым маршрутизаторам они обслуживают любой запрос, приходящий из Интернета. В рамках борьбы со спамом в электронной почте такой почтовый маршрутизатор должен четко ограничивать список IP-адресов своих клиентов. Аналогично следует поступать и с клиентами DNS. Во-вторых, это высокопроизводительные и надежные коммерческие серверы типа openDNS или Google Public DNS, способные создать очень большой трафик, однако коммерческие серверы не фильтруют запросы, так как созданы для обслуживания любых обращений.

Подмена IP-адреса (спуфинг) в запросах к системе DNS возможна из-за особенностей транспортного протокола UDP, однако несмотря на существование целого ряда рекомендаций, например RFC-3704, в которых описаны приемы внутренней фильтрации UDP-трафика, призванные значительно сократить объемы паразитного трафика, далеко не везде эти рекомендации выполняются.

Таким образом, в современном Интернете злоумышленник при желании и достаточных финансовых ресурсах имеет возможность «задавить» либо первоисточник данных, либо точку концентрации данных. В контексте IoT информация со сканеров может просто вовремя не попасть в систему обработки информации, либо управляющее сообщение может быть доставлено не по нужному адресу. Кроме того, подменив маршрут или испортив таблицу маршрутизации, злоумышленник может собрать весь трафик, который ему не предназначался, или же подменить его на свой. Для успешного проведения подобной атаки необходимо «задавить» сеть, которая корректно анонсирует маршрутную информацию. Один из наиболее известных примеров проведения подобной атаки — это сделанный 8 апреля 2010 года ошибочный анонс нескольких тысяч сетей крупнейшим китайским оператором. Неверно было анонсировано более 40 тыс. маршрутов, в том числе 471 российский, а часть конфиденциального трафика попала в сеть китайского оператора.

Успешные атаки с использованием системы DNS или системы маршрутизации Сети, двух ключевых инфраструктурных компонентов Интернета, явно свидетельствуют не в пользу IoT. Чтобы оценить степень токсичности Сети в российских доменных зонах, Координационный центр национального домена сети Интернет в июле 2012 года запустил проект «Классификатор доменов» с целью обнаружения центров управления ботнетами и распространения спама. Всего через базу данных из 4 млн доменов в зоне. RU прошло 956 тыс., и 759 тыс. из них потенциально оказались «плохими». Вредоносный код был замечен на 131 867 доменах, фишинг — на 10 727 доменах, а спам распространялся с 16 797 доменов. При этом за полгода ведения проекта показатели постоянно росли на 10–15% ежемесячно, а анализ аккаунтов администраторов доменов свидетельствует, что данная деятельность носит систематический характер и, скорее всего, лежит в сфере бизнеса (23 администратора управляют 46 тыс. «плохих» доменов). Вряд ли распространение технологий Интернета вещей избавит нас от киберворовства, внедрения вредоносного кода или искажения информации.

***

Рисуя горизонты внедрения Интернета вещей, не говоря уже о Всеобъемлющем Интернете, следует не только заглядываться на облака, но и крепко стоять на земле, четко осознавая технические возможности технологий, на которые предполагается опираться при развертывании IoT, оценивая различные юридические нюансы и прочие аспекты. Для разработки новой технологии полезно сначала создать модель, пусть и менее масштабную, и только потом распространять ее на реальную жизнь. При современном уровне проблематики Интернета, по оптимистической оценке, горизонт широкого внедрения IoT вполне может составить 15 лет.

Павел Храмцов (paulbkh@google.com) — доцент Национального исследовательского ядерного университета «МИФИ» (Москва).